Windows Active Directory -varmennepalvelut (ADCS) ja PKI-välityspalvelin

Tässä asiakirjassa kuvataan Windows Active Directory Certificate Services (ADCS) -palvelun konfigurointi PKI Proxy- ja NetHSM-ohjelmistojen kanssa.

Prerequisits

  • NetHSM

    • Provisioned

    • Administrative access

  • PKI Proxy server

    • NetHSM PKCS#11 -moduuli on asennettu ja määritetty NetHSM:n käyttöön

  • CA-palvelin (Windows Server)

    • ADCS role installed, but not configured

    • PKI Proxy client tools installed

    • Asiakasohjelmistoja ei tarvita, jos tällä palvelimella on käynnissä myös PKI-välityspalvelin, sillä se sisältää asiakasohjelmistot.

    • Pynitrokey installed

Root CA Key and Certificate

Seuraavassa taulukossa on lueteltu avainalgoritmit ja avainpituudet sekä hajautusalgoritmit, joita Windows ADCS voi käyttää NetHSM:n kanssa.

Key Algorithm

Key Length

Hash Algorithm

RSA

1024

MD2, MD4, MD5, SHA1, SHA256, SHA384, SHA512

2048

MD2, MD4, MD5, SHA1, SHA256, SHA384, SHA512

4096

MD2, MD4, MD5, SHA1, SHA256, SHA384, SHA512

ECDSA

P256

SHA1, SHA256, SHA385, SHA512

P384

SHA1, SHA256, SHA385, SHA512

P521

SHA1, SHA256, SHA385, SHA512

Tärkeä

Noudata parhaita käytäntöjä turvallisen salausavainalgoritmin, avaimen pituuden ja hajautusalgoritmin valinnassa.

Avain ja varmenne voidaan joko luoda uudelleen tai siirtää olemassa oleva. Katso alla olevista alaluvuista lisätietoja siitä, miten asiassa tulisi toimia juuri sinun tilanteessasi.

Generate a new Root CA Key and Certificate on Windows

Seuraavien ohjeiden avulla luodaan uusi avain ja varmenne käytettäväksi ADCS:n -juurivarmenneviranomaisessa (Root CA).

Vihje

Yleensä on helpompaa luoda avain ja varmenne ADCS-määritysohjelman avulla ja noudattaa sitten ohjeita osoitteessa Siirrä olemassa oleva avain ja varmenne.

Tässä tapauksessa avaimen luomiseen käytetään pyyntömallia, jossa on määriteltyjä CA-laajennuksia. Konkreettiset arvot on mukautettava käyttöympäristösi mukaan.

Pyyntömalli on tallennettava tiedostoon, jonka nimi on RootCA.inf ja jonka sisältö on seuraava.

Tämä malli luo RSA-avaimen, jonka pituus on 4096 bittiä. Sinun on korvattava <CA-NAME> omalla varmentajan nimelläsi.

[Version]
Signature="$Windows NT$"

[NewRequest]
Subject = "CN=<CA-NAME>"
KeySpec = 1
KeyLength = 4096
Exportable = TRUE
MachineKeySet = TRUE
SMIME = FALSE
PrivateKeyArchive = FALSE
UserProtected = FALSE
UseExistingKeySet = FALSE
ProviderName = "Microsoft Software Key Storage Provider"
ProviderType = 0
RequestType = Cert
KeyUsage = 0x86

[Extensions]
; Key Usage: keyCertSign (0x04) + cRLSign (0x02) => 0x06
2.5.29.15 = "{critical}86"

; Basic Constraints: CA = TRUE, path length optional
2.5.29.19 = "{critical}{text}CA=TRUE"

; CA Version (V0.0)
1.3.6.1.4.1.311.21.1 = "{hex}02 01 00"

[RequestAttributes]
; Empty for self-signed request

Generate the key and certificate from the certificate template.

certreq -new RootCA.inf RootCA.req

Varmenne on lisätty paikallisen tietokoneen varmennetallennustilaan. Vie varmenne PFX-tiedostoon korvaamalla <THUMBPRINT> edellisen komennon tulosteesta saadulla vastaavalla arvolla.

$password = Read-Host -AsSecureString "Password"
Export-PfxCertificate -Cert Cert:\LocalMachine\My\<THUMBPRINT> -FilePath RootCA.pfx -Password $password

Salasanaa käytetään PKCS#12-arkiston (PFX-tiedoston) salaamiseen. Voit jatkaa lukua NetHSM-määritykset.

Migrate existing Key and Certificate

Jotta olemassa oleva avain ja varmenne voidaan siirtää, ne on viety ADCS:n varmennetallennustilasta, ja tuloksena oleva arkisto on tuotu NetHSM:ään.

Tärkeä

Ennen kuin teet muutoksia tuotantokäyttöön tarkoitettuun varmentajaan, on suositeltavaa luoda siitä varmuuskopio. Lisätietoja löytyy osoitteesta tältä sivulta.

  1. Avaa certlm.msc.

  2. Siirry kohtaan Sertifikaatit – Paikallinen tietokone → Henkilökohtaiset → Sertifikaatit.

  3. Select the certificate in the list on the right.

  4. Siirry yläreunan valikkorivillä kohtaan Toiminto ( ) → Kaikki tehtävät (All Tasks) → Vie… (Export…). Tämä käynnistää -varmenteen vientiohjelman.

  5. Confirm the introduction of the assistant with Next.

  6. Valitse valintanappi kohdassa ” ” (Kyllä, vie yksityinen avain) ja vahvista valinta kohdassa ” ” (Seuraava). Jos valintanappia ei ole näkyvissä, avain on merkitty viedäkelemättömäksi. Tällöin tätä ohjetta ei voi soveltaa kyseiseen käyttötarkoitukseen.

  7. Sisällytä sertifiointipolkuun kaikki sertifikaatit, jos mahdollista

  8. Valitse valintanappi kohdassa ” ” (Kyllä, vie yksityinen avain) ja vahvista valinta kohdassa ” ” (Seuraava).

  9. Valitse valintaruutu kohdan ” Personal Information Exchange - PKCS #12 (.PFX) ” vieressä. Varmista, että seuraavat vaihtoehdot on valittu:

    • Sisällytä sertifiointipolkuun kaikki sertifikaatit, jos mahdollista

    • Vie kaikki laajennetut ominaisuudet

    • Enable certificate privacy

    Confirm the selection with Next.

  10. Valitse valintanappi kohdassa ” ” (Salasana). Kirjoita salasana salasana-kenttiin. Valitse avattavasta valikosta kohdassa ” Encryption” (Salaus) vaihtoehto ” ” (AES256-SHA256).

    Tärkeä

    Salausmenetelmää AES256-SHA256 tuetaan vasta Windows Server 2019:stä ja Windows 11:stä alkaen. Jos käytät vanhempia versioita, säilytä oletusasetus TripleDES-SHA1.

    Confirm the selection with Next.

  11. Choose a storage location and file name and confirm with Next.

    Tärkeä

    Viety avain ja varmenne on säilytettävä turvallisessa paikassa, johon vain valtuutetut käyttäjät pääsevät käsiksi.

  12. Confirm the export with Finish.

  13. Varmista, että varmenne on edelleen valittuna oikealla olevassa luettelossa.

  14. Siirry yläreunan valikkorivillä kohtaan ” Action” → ”All Tasks” → ”Delete”. Vahvista yksityisen avaimen ja varmenteen poistaminen valitsemalla ” ” ja ”Yes”.

Voit jatkaa lukua NetHSM-määritykset.

NetHSM Configuration

Edellisessä luvussa mainittu avain ja varmenne on tuotava NetHSM-laitteeseen. Komennolla ` nitropia <../software/nitropy/index.html>`__ voimme tuoda PKCS#12-arkiston suoraan NetHSM-laitteeseen.

Tuo PKCS#12-arkisto seuraavasti ja korvaa samalla <KEY-ID>, <MECHANISM> ja <PKCS12-ARCHIVE> vastaavilla arvoilla.

nitropy nethsm import-pkcs12 -k <KEY-ID> -m <MECHANISM> -p <password> <PKCS12-ARCHIVE>

RSA-avainten osalta mekanismin on oltava rsa_signature_pkcs1 ja ECDSA-avainten osalta ecdsa_signature.

Voit nyt tarkistaa, että varmenne on käytettävissä NetHSM:ssä.

nitropy nethsm list-keys

Avain näkyy luettelossa edellisessä komennossa annetulla avain-ID:llä.

PKI Proxy Server Configuration

PKI-välityspalvelimella sinun on jaettava juuri NetHSM:stä lisätty varmenne. Lisätietoja saat noudattamalla ohjeita, jotka löytyvät osoitteesta Publish Certificates from the NetHSM.

Windows ADCS Configuration

PKI Proxy Client Tools Configuration

Seuraavassa lisäämme avaimen ja varmenteen Windowsin paikalliseen varmennetallennustilaan.

  1. Open the PKI Proxy Certificate Manager.

  2. Click the Add… button.

  3. Täytä pakolliset kentät.

    • Sijainti, esim. https://localhost:9266

    • Tunnistus

    • User

    • Secret Key/Password/SPN

    • Certificate Store: LOCALMACHINE\My

    Confirm the configuration with the OK button. This will bring you back to the previous window.

  4. The list under Certificate Management in the PKI Proxy Certificate Manager should now show the just added certificate.

Voit nyt tarkistaa, että varmenne löytyy paikallisen tietokoneen varmennetallennustilasta.

  1. Avaa ” **” -valintaikkuna ( ) joko napsauttamalla hiiren kakkospainikkeella Windows- in Käynnistä-valikkoa ( ) ja valitsemalla ” ” ( ) tai painamalla näppäimistön Windows-näppäintä + R (** ).

  2. Kirjoita ” ” -valintaikkunan ”Run” -kenttään certlm.msc ja vahvista painamalla Kirjoita näppäimistöllä tai napsauttamalla OK.

  3. Avautuvassa varmennehallinnassa siirry vasemmalla olevassa puurakenteessa kohtaan Varmenteet – Paikallinen tietokone → Henkilökohtaiset → Varmenteet.

  4. The published certificate is now listed on the right.

Windows ADCS Configuration

  1. Avaa Server Manager ** :n Käynnistä-valikosta** tai painamalla Windows-näppäintä + R näppäimistöllä ja kirjoittamalla ServerManager.exe.

  2. Napsauta oikeassa yläkulmassa olevassa valikkopalkissa lippukuvaketta ja valitse asennuksen jälkeisistä ilmoituksista vaihtoehto ” ” (Määritä Active Directory -varmennepalvelut kohdepalvelimelle ). Tämä käynnistää ohjatun toiminnon ” ” (AD CS -määritys ).

  3. In the wizard, set the settings below according to the stage.

    • Role Services

      Check the radio button next to Certification Authority.

    • Setup Type

      Valitse ympäristösi mukaan joko Enterprise CA tai Standalone CA.

    • CA Type

      Valitse Root CA

    • Private Key

      Valitse valintanappi kohdassa ” ” (Käytä olemassa olevaa yksityistä avainta). Valitse tämän vaihtoehdon alla valintanappi kohdassa ” ” (Valitse varmenne ja käytä siihen liittyviä yksityisiä avaimia).

      • Existing Certificate

        ** Valitse -varmenteiden luettelosta se varmenne, jota haluat käyttää. Varmista, että valintaruutu ” **” (Salli järjestelmänvalvojan toiminta, kun varmentamisviranomainen käyttää yksityistä avainta) ei ole valittuna. Tämä ei ole tarpeen, koska PKI Proxy KSP ei vaadi ylimääräistä todennusta yksityisen avaimen käyttämiseksi.

  4. Kun asennusohje on päättynyt, avaa ” ” -varmenneviranomainen valitsemalla ” ” -aloitusvalikosta tai painamalla näppäimistön Windows-näppäintä + R **** ja kirjoittamalla certsrv.msc. Voit varmistaa, että varmenneviranomaispalvelu on käynnistynyt oikein, kun varmenneviranomaisen nimen vieressä näkyy vihreä piste, jossa on valkoinen valintamerkki.

Tärkeä

Varmentajan käytettävyys riippuu yksityisen avaimen ja varmenteen saatavuudesta. Jos niitä ei ole käytettävissä, varmentajapalvelu ei välttämättä käynnisty tai se saattaa pysähtyä odottamattomasti. Virhetilanteessa tarkista lisätietoja Windowsin tapahtumalokista kohdasta ” ” ( ) osoitteessa.